Pesquisadores de segurança cibernética identificaram dois pacotes maliciosos no registro de pacotes npm que ocultavam código de backdoor para executar comandos maliciosos enviados de um servidor remoto.
Os pacotes em questão – img-aws-s3-object-multipart-copy e legacyaws-s3-object-multipart-copy – foram baixados 190 e 48 vezes cada. No momento em que este artigo foi escrito, eles foram retirados do ar pela equipe de segurança do npm.
“Eles continham funcionalidades sofisticadas de comando e controle ocultas em arquivos de imagem que seriam executados durante a instalação do pacote”, disse a empresa de segurança da cadeia de suprimentos de software program Phylum em uma análise.
Os pacotes são projetados para representar uma biblioteca npm legítima chamada aws-s3-object-multipart-copy, mas vêm com uma versão alterada do arquivo “index.js” para executar um arquivo JavaScript (“loadformat.js”).
Por sua vez, o arquivo JavaScript foi projetado para processar três imagens — que apresentam os logotipos corporativos da Intel, Microsoft e AMD — com a imagem correspondente ao logotipo da Microsoft usada para extrair e executar o conteúdo malicioso.
O código funciona registrando o novo cliente com um servidor de comando e controle (C2) enviando o nome do host e os detalhes do sistema operacional. Ele então tenta executar comandos emitidos pelo invasor periodicamente a cada cinco segundos.
No estágio closing, a saída da execução dos comandos é exfiltrada de volta para o invasor por meio de um endpoint específico.
“Nos últimos anos, vimos um aumento drástico na sofisticação e no quantity de pacotes maliciosos publicados em ecossistemas de código aberto”, disse Phylum.
“Não se engane, esses ataques são bem-sucedidos. É absolutamente imperativo que desenvolvedores e organizações de segurança estejam cientes desse fato e sejam profundamente vigilantes com relação às bibliotecas de código aberto que consomem.”
